Melden gegevenslek: Algemene informatie

De Algemene Verordening Gegevensbescherming (AVG) spreekt over een ‘inbreuk in verband met persoonsgegevens’. Het gaat om een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte persoonsgegevens (Artikel 4, punt 12, AVG).

Categorieën inbreuken (WP 29 Richtlijnen voor melding inbreuk i.v.m. persoonsgegevens)

Er zijn drie categorieën inbreuken op de beveiliging (aard van een inbreuk):

• Inbreuk op de vertrouwelijkheid
  bijvoorbeeld: een onbevoegde of onopzettelijke verspreiding van, of toegang tot, persoonsgegevens.
• Inbreuk op de integriteit
  bijvoorbeeld: een onbevoegde of onopzettelijke wijziging of vervalsing van persoonsgegevens.
• Inbreuk op de beschikbaarheid
  bijvoorbeeld: een onbevoegd of onopzettelijk verlies of vernietiging van persoonsgegevens

Een inbreuk kan, afhankelijk van de omstandigheden, in meer dan één van deze drie categorieën vallen.
Voorbeelden van inbreuken zijn:

• het verlies van een USB-stick met niet-versleutelde persoonsgegevens;
• een cyberaanval waarbij persoonsgegevens zijn buitgemaakt;
• een besmetting met ransomware waarbij persoonsgegevens ontoegankelijk zijn gemaakt.

Nee. U hoeft een gegevenslek alleen te melden als dit leidt tot een risico voor de rechten en vrijheden van betrokkenen.
De aanbeveling van de WP 29 (in het bijzonder hoofdstuk IV) hierover, kan u helpen te bepalen of u een gegevenslek moet melden.

Naast het geval dat de omstandigheden uitwijzen dat de inbreuk de privacy of persoonsgegevens van de betrokken personen niet zal aantasten, bestaan er twee andere gevallen waarin de verantwoordelijke voor de gegevensverwerking de Vlaamse Toezichtcommissie niet hoeft in te lichten over het gegevenslek:

- wanneer de verantwoordelijke heeft aangetoond dat de gegevens geëncrypteerd of op een andere manier beveiligd waren, zodat ze onbegrijpelijk zijn voor de derden die er eventueel in het bezit van zijn. De sleutel om de beveiliging te kraken mag natuurlijk ook niet gelekt zijn;

- wanneer de betrokken personen ogenblikkelijk op de hoogte werden gebracht van de volledige omvang en gevolgen van het gegevenslek EN er slechts een beperkte groep personen (ongeveer 100)  getroffen is EN geen gevoelige gegevens >> bijzondere categorie van persoonsgegevens (bv. medische gegevens, gegevens over religie, seksuele geaardheid, politieke voorkeur, raciale of etnische oorsprong) of financiële gegevens (bv. de combinatie van iemands naam met zijn rekening- of bankkaartnummer) bij het gegevenslek betrokken zijn.

In geval van twijfel doet de verantwoordelijke toch best een melding bij de VTC.
Zelfs indien de verwerkingsverantwoordelijke de inbreuk niet meldt bij de VTC, is het aangewezen een logboek bij te houden met een korte beschrijving van elke inbreuk en een verklaring voor het niet-melden ervan.

De VTC is als toezichthoudende autoriteit voor de verwerking van persoonsgegevens verantwoordelijk voor het toezicht op de toepassing van de algemene verordening gegevensbescherming door de Vlaamse instanties, zoals vermeld in artikel 4, § 1, van het decreet van 26 maart 2004 betreffende de openbaarheid van bestuur.

Op deze pagina vindt u een overzicht dat kan helpen bij het uitzoeken of uw organisatie een Vlaamse instantie is.

Gegevenslekken in andere organisaties en melding van gegevenslekken in de telecomsector dienen gemeld te worden bij de GBA.

U kunt de melding doen via het aanmeldingsformulier in te vullen en te mailen naar contact(at)toezichtcommissie(punt)be.
Een inbreuk kan volledig gemeld worden of, in het geval het verder onderzoek vergt, in twee delen worden gemeld: 
- voormelding aan de VTC binnen de 72 uur;
- volledige melding aan de toezichthoudende autoriteit zodra alle detail info gekend is.
Ook bij een gedeeltelijke melding dient gebruik te worden gemaakt van het formulier, indien bepaalde informatie nog niet voor handen is, kan u dat aangeven en motiveren.

Naar het meldformulier

De meldingstermijn bedraagt in principe uiterlijk binnen 72 uur nadat de inbreuk werd vastgesteld. Als de verantwoordelijke voor de gegevensverwerking in eerste instantie over weinig of geen informatie beschikt, kan hij de melding wel in twee fasen opdelen: 
- voormelding aan de VTC binnen de 72 uur;
- volledige melding aan de toezichthoudende autoriteit zodra alle detail info gekend is.

Nee. U hoeft de betrokkenen (de personen van wie u gegevens verwerkt) alleen te informeren als de inbreuk waarschijnlijk een hoog risico voor hun rechten en vrijheden oplevert. 
De aanbeveling van de WP 29 (in het bijzonder hoofdstukken III en IV), kan u helpen te bepalen of u de betrokkenen over een inbreuk moet informeren.

De verantwoordelijke voor de gegevensverwerking meldt de inbreuk aan de betrokken personen met communicatiemiddelen die garanderen dat de informatie snel wordt ontvangen. Als het onmogelijk is om de benadeelde personen te identificeren, mag de verantwoordelijke die personen inlichten via de media, hoewel hij blijft proberen om de identiteit van die personen te achterhalen zodat zij hen ook individueel in kennis kan stellen.

Opmerking: uit AVG (artikel 34, lid 2, AVG): De kennisgeving aan de betrokken personen bevat een omschrijving, in duidelijke en eenvoudige taal, van de aard van de inbreuk in verband met persoonsgegevens en ten minste volgende elementen:
- naam en contactgegevens van de functionaris voor gegevensbescherming of een ander contactpunt;
- de waarschijnlijke gevolgen van de inbreuk in verband met persoonsgegevens;
- de maatregelen die de verwerkingsverantwoordelijke heeft voorgesteld of genomen om de inbreuk in verband met persoonsgegevens aan te pakken, waaronder in voorkomend geval de maatregelen ter beperking van de eventuele nadelige gevolgen daarvan. 

Opmerking: De VTC beveelt aan om de kennisgeving in een duidelijke taal op te stellen en te maken dat die makkelijk te begrijpen is en om tenminste de hiernavolgende informatie verstrekken:

• naam van de verantwoordelijke voor de gegevensverwerking
• contactgegevens van een aanspreekpunt waar bijkomende informatie kan worden verkregen bv. de DPO
• samenvatting van het incident
• vermoedelijke datum van het incident
• aard van de betrokken persoonsgegevens
• denkbare gevolgen van het gegevenslek voor de betrokken personen
• de maatregelen die de verantwoordelijke heeft genomen om dit gegevenslek te verhelpen en de nadelge gevolgen te beperken
• de maatregelen die de verantwoordelijke aan de betrokken personen aanbeveelt om de mogelijke schade in te perken.

Op basis van artikel 58, 2 van de AVG kan de VTC volgende maatregelen opleggen:

• waarschuwen (a)
• berispen(b) - zie verder
• gelasten de verzoeken van de betrokkene tot uitoefening van zijn rechten in te willigen (c)
• gelasten de verwerking in overeenstemming te brengen met de AVG (d)
• gelasten de inbreuk aan de betrokkenen mee te delen (e)
• een tijdelijke verwerkingsbeperking opleggen (f)
• een tijdelijk verbod opleggen (f)
• een definitieve verwerkingsbeperking opleggen (f)
• een definitief verwerkingsverbod opleggen (f)
• gelasen de persoonsgegevens te rectificeren(g)
• gelasten de persoonsgegevens te wissen (g)
• gelasten de verwerking te beperken (g)

De VTC spreekt in principe van zodra er sprake is van een datalek een berisping uit omdat een lek betekent dat er iets misgelopen is en de VTC wil aansturen op verbetering van het omgaan met persoonsgegevens.

Er worden ook maatregelen opgelegd als het louter om een fout van de verwerker gaat aangezien de verwerkingsverantwoordelijke verantwoordelijk is voor wat de verwerker doet.

- Stel algemene ICT gebruiksrichtlijn op
 ICT beveiligingsbeleid als onderdeel globaal veiligheidsbeleid

- Stel ICT veiligheidsverantwoordelijke aan
 Bewustmaking & controle van de toepassing

- Bereid ICT-incidentendossier voor met :

• plan van architectuur/ toepassingen/ databanken/interconnecties
• Namen / tel / gsm van verantwoordelijke systeem /DB/toep
•  Namen+ tel / gsm leveranciers HW / SW / Maintenance/BU
• Tel Cert.be
• Tel + permanentienummer FCCU

Ook volgende aandachtspunten:

• Wees duidelijk in outsourcing van maintenance: rapportering van alle interventies op afstand
• Scherm bedrijfskritische systemen/toepassingen / data af van op Internet aangesloten netwerken !
• Installeer recente Antivirus ; Firewall en actualiseer
• Synchroniseer de systeemklokregelmatig
• Activeer en controleer loggings IN en OUT
• Voer audits uit op loggings
• Maak en test backups en bewaar ze veilig!

Instanties moeten een incidentprocedure opstellen waarin de verplichte melding van een inbreuk verwerkt is.
De brochure van Cyber Security Coalition kan tot inspiratie dienen

Wettelijk werken – respect wetten & CAO 81

• Finaliteit (misdrijven, economisch & financieel belang, ICT-veiligheid, gebruikersregels)
• Proportionaliteit (minimale inbreuk op privacy, in fases)
• Transparantie (op basis van duidelijke policy)

Diagnose stellen / oorzaak & sporen vinden 
Bewijsmateriaal integer bewaren

•  Integraal, ongewijzigd met garantie

Noodzaak om specialisten in te schakelen

• Zeker van klacht →politie
• Zo niet →Cert.be (zie verder)

Bij ontvangst dreigingen

•  reageer snel… maar niet naar afperser
•  bewaar berichten in originele (digitale vorm)
•  contacteer politie

Bij effectieve incidenten:

•  Verbreek verbinding (indien niet door aanvaller veroorzaakt)
•  Log maximaal informatie inzake laatste ICT activiteit/tijdstip
•  Vermijd actie op het systeem (sporen aanvaller)
•  beveilig fysiek het systeem
•  beperk de interne communicatie tot noodzakelijke
•  Dien klacht in bij politie of parket

U dient, conform de Algemene Verordening Gegevensbescherming, de inbreuk te melden bij de VTC. Deze verplichting geldt voor de Vlaamse bestuursinstanties.

Het is aangeraden het incident te melden bij CERT in geval van malware, een inbraak in uw website of netwerk, DDoS-aanval, botnet, phishing of een ander cyberbeveiligingsincident: https://www.cert.be/nl/een-incident-melden-form

U kan een klacht indienen bij de politie: http://www.politie.be 

Phishing mails kan u doorsturen naar verdacht@safeonweb.be. Meer info: https://www.safeonweb.be/wat-verdachtsafeonwebbe

Instanties moeten een incidentprocedure opstellen waarin de verplichte melding van een inbreuk verwerkt is.
De brochure van Cyber Security Coalition kan tot inspiratie dienen 

• Heb je wel op de link geklikt? Voer zo snel mogelijk een virusscan uit. Meer info: https://www.safeonweb.be/index.php/nl/scan-je-computer
• Heb je bankgegevens of codes doorgegeven? Contacteer onmiddellijk je bank en Cardstop (078 170 170)
• Heb je je wachtwoord doorgegeven? Verander het wachtwoord dan en dit voor alle accounts waarvoor je dit wachtwoord gebruikt. Meer info: https://www.safeonweb.be/index.php/nl/gebruik-lange-wachtwoorden

Safeonweb.be is een initiatief van het Centrum voor Cybersecurity België (https://ccb.belgium.be/)